Encerrar automaticamente detecções obsoletas no Vulnerability Response

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Habilite o fechamento automático de detecções obsoletas para fechar automaticamente detecções vulneráveis obsoletas que não foram encontradas recentemente por suas integrações de terceiros.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin ou sn_vuln.admin (obsoleto) ou um gerenciador de vulnerabilidades com a função granular sn_vul.manage_auto_close_stale_vi.

    Para obter mais informações sobre este recurso, os principais termos e qualquer configuração que possa ser necessária para suas integrações de terceiros que importam dados de detecção, consulte Fechando detecções obsoletas em Vulnerability Response para obter mais informações.

    Procedimento

    1. Navegar até Vulnerability Response > Administração > Configuração de fechamento automático > Detecções obsoletas.
      O formulário Configuração obsoleta de encerramento automático é exibido.
    2. Preencha os campos.
    3. Para o campo Fechar automaticamente detecções obsoletas com base em, escolha uma opção para sua pesquisa.

      Ambas as pesquisas correspondem à idade das detecções mais antigas em número de dias até uma data fornecida pelo seu scanner.

      • Últimas detecções encontradas. Esta opção pesquisa a data mais atual ou mais recente em que as detecções foram encontradas novamente pelo scanner.
        Nota:
        Para usuários de Rapid7 e Microsoft TVM, uma mensagem de aviso é exibida sobre a solicitação de informações de detecção atuais.

        Se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso exigirá uma execução de integração bem-sucedida de uma das Rapid7 integrações de item vulnerável abrangente nos últimos sete dias.

        Se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso exigirá uma execução bem-sucedida da integração de vulnerabilidades de máquina Microsoft TVM (importação completa) nos últimos sete dias.

      • Última verificação dos ativos. Esta opção pesquisa a data mais atual em que um ativo foi verificado pela última vez por um scanner de terceiros.
    4. Somente para usuários de Rapid7 e Microsoft TVM, verifique se todas as integrações necessárias estão habilitadas.
      Para obter mais informações, consulte Noções básicas sobre o Rapid7 Vulnerability Integration e Noções básicas sobre a integração de vulnerabilidade do Microsoft Threat and Vulnerability Management.
    5. Para habilitar o módulo, clique na caixa de seleção Ativo para selecioná-lo.
    6. No campo Últimas detecções encontradas (dias atrás), insira a idade das detecções mais antigas no número de dias.

      O padrão é 90 dias. Você pode inserir qualquer valor positivo para o número de dias. Este valor é usado para corresponder a uma data fornecida pelo scanner. Com 90 e Últimas detecções encontradas exibidas, todas as detecções não encontradas nos últimos 90 dias serão encerradas automaticamente. Com 90 e Ativos verificados pela última vez exibidos, todas as detecções associadas a ativos não verificados nos últimos 90 dias são encerradas automaticamente.

      Nota:

      Há uma relação entre o campo Detecções encontradas pela última vez/Ativos verificados pela última vez (dias atrás) para este recurso e o campo Importar desde na API Integração abrangente de item vulnerável da Rapid7 e na integração de vulnerabilidades da máquina com Microsoft TVM.

      Para essas integrações, o campo Importar desde nas páginas de configuração está vazio por padrão.

      Se você não inserir um valor ou o campo não tiver nenhum valor, os dados do número de dias configurados no campo Detecções encontradas/Última verificação de ativos (dias atrás) serão usados.

      Por exemplo, se o número de dias definido no formulário de configuração de fechamento automático for 90e o campo Importar desde estiver vazio nas páginas de configuração da integração, a primeira execução de integração importará os dados dos últimos 90 dias. Os campos Importar desde da Rapid7 Integração de item vulnerável abrangente - API e a integração de vulnerabilidades da máquina Microsoft TVM são editáveis, portanto, você também pode fornecer os valores desejados. O valor de 90 dias será fornecido como padrão se o campo permanecer vazio para que o recurso de fechamento automático não feche os falsos positivos.

      Este relacionamento entre esses campos se aplica somente à primeira execução de integração. Depois disso, alterar o campo Detecções encontradas pela última vez/Ativos verificados pela última vez (dias atrás) no formulário Fechar automaticamente detecções vulneráveis obsoletas não afeta o campo Importar desde nas páginas de configuração da integração. O campo é alterado para a hora de início da primeira execução para que as execuções de integração subsequentes importem somente as informações delta.

    7. Opcional: Marque a caixa de seleção Ignorar detecções obsoletas para IVs adiados para ignorar detecções obsoletas que são mapeadas para IVs adiados ou para IVs atualmente em revisão para adiamento.

      Se você deixar esta opção desabilitada, todas as detecções que corresponderem aos seus critérios serão fechadas e mapeadas para IVs adiados ou para IVs que estão em revisão para adiamento. Os IVs adiados ou IVs que estão em revisão que correspondem a essas detecções também são encerrados automaticamente com base na lógica de acúmulo. Para obter mais informações sobre a lógica de acúmulo, consulte Fechando detecções obsoletas em Vulnerability Response.

      Se você habilitar esta opção, todas as detecções que correspondam aos seus critérios que mapeiam para IVs adiados ou para IVs que estão em revisão para adiamento serão ignoradas durante o fechamento automático.

    8. Opcional: Desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados.
      Por padrão, esta caixa de seleção é marcada para que o IV encerrado não seja reaberto quando uma nova detecção relacionada a este IV encerrado for identificada.

      Para obter mais informações sobre a lógica de acúmulo, consulte Fechando detecções obsoletas em Vulnerability Response.

    9. Clique em Atualizar para salvar suas mudanças.

      O trabalho programado, Encerrar automaticamente detecções obsoletas, é executado diariamente. O trabalho identifica se você selecionou a data em que as detecções foram encontradas ou se os ativos foram verificados pela última vez. As detecções correspondentes transicionam para Obsoleto. O recurso Fechar detecção obsoleta automaticamente fecha somente detecções obsoletas para instâncias de integração ativas. Os itens vulneráveis e as detecções associadas às instâncias de integração ativas são encerrados.

      Depois que as detecções forem marcadas como Obsoletas, se o scanner relatar que encontrou essa detecção novamente, o campo Status das detecções será alterado para Aberto. Os itens vulneráveis correspondentes da detecção também são reabertos.

      Além disso, se a detecção estiver marcada como Obsoleta e o scanner descobrir que ela é Corrigida, a detecção muda para Encerrado. O estado também é acumulado para os IVs.